# DET0873 — Detection of Establish Accounts ## Descrição A estratégia DET0873 aborda a detecção de criação de contas por adversários para suporte a operações maliciosas. Diferente do comprometimento de contas existentes, o estabelecimento de novas contas envolve criação deliberada de identidades falsas em e-mail, redes sociais, fóruns especializados, plataformas de cloud e outros serviços online. Essas contas são usadas para comunicação entre operadores, registro de infraestrutura, envio de phishing e construção de personas para engenharia social. Grupos APT sofisticados investem significativamente na criação de personas convincentes, incluindo histórico de atividade gradual em plataformas para aumentar credibilidade antes do uso em operações. Contas de e-mail em provedores anônimos como ProtonMail ou Tutanota, perfis de LinkedIn com histórico artificial, e contas em fóruns de segurança são componentes típicos dessa infraestrutura de personas. A detecção é difícil quando as contas são bem construídas, mas pode ser facilitada por: monitoramento de padrões de registro de contas em plataformas corporativas, análise de metadados de contas (data de criação, comportamento inicial, geolocalização), e correlação com inteligência sobre infrastructure de campanhas conhecidas que inclui identificadores de contas específicas. ## Indicadores de Detecção - Múltiplas contas criadas com padrão similar de nomenclatura em curto intervalo de tempo - Conta recém-criada em plataforma corporativa acessando imediatamente recursos sensíveis - E-mail de confirmação de registro chegando de domínio descartável ou temporário - Conta em rede social com data de criação recente exibindo histórico de atividade artificialmente denso - Criação de conta em plataforma cloud associada a IP de VPN/Tor sem justificativa de negócio - Perfil profissional sem histórico de atividade prévia contatando funcionários de alto valor - Conta nova em fórum de segurança solicitando informações específicas sobre organização alvo ## Técnicas Relacionadas - [[t1585-establish-accounts|T1585 — Establish Accounts]] - [[T1585.001-social-media-accounts|T1585.001 — Social Media Accounts]] - [[T1585.002-email-accounts|T1585.002 — Email Accounts]] - [[T1585.003-cloud-accounts|T1585.003 — Cloud Accounts]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1566-phishing|T1566 — Phishing]] ## Analytics Relacionadas - [[an2005-analytic-2005|AN2005 — Analytic 2005]] --- *Fonte: [MITRE ATT&CK — DET0873](https://attack.mitre.org/detectionstrategies/DET0873)*